03.08.2006
Trojan.Win32.StartPage.agb
Исполняемый файл известен под именем paytime.exe, размер 4 кб, сжат FSG. Иконка похожа на иконку документа MSWord.
Скрытно выполняет следующие операции:
1. Копирует свой исполняемый файл в WINDOWS\system32\paytime.exe
2. Регистрирует WINDOWS\system32\paytime.exe в автозапуске (одновременно в двух ключах)
3. Копирует файл WINDOWS\secure32.html в корень диска
4. Модифицирует стартовую страницу на secure32.html в корне диска
Операции 3-4 повторяются периодически с интервалом несколько секунд, что делает бесполезным удаление файла secure32.html и восстановление настроек браузера при активном процессе
Лечение
1. Файл детектируется AVZ и может быть уделен в автоматическом режие
2. После удаления необходимо воспользоваться восстановлением системы AVZ для восстановления настроек браузера
Детектирование вручную
Детектировать наличие данной троянской программы несложно по описанным симптомам и по появлению в корне диска файла secure32.html. Обнаружить троянский процесс можно утилитами FileMon и RegMon.